Russian Invasion Sparks Global Wiper Malware Surge
2023/02/23 InfoSecurity — セキュリティ・ベンダーの Fortinet によると、ウクライナ戦争により破壊的なマルウェアの新しい波が世界中に押し寄せており、それをサービスとして提供する、サイバー犯罪グループが増えているという。昨年にロシア軍が利用したワイパー・マルウェアだが、昨年にウクライナ国境を越えて急速に拡大し、その活動量は 2022 Q3 と Q4 の比較において 53% 増になると、同社は指摘している。
同社の Chief Security Strategist である Derek Manky は、「サイバー犯罪グループが、これらの新しいマルウェアを採用し、拡大する CaaS (Cybercrime-as-a-Service) ネットワーク全体で使用するケースが増えている」と説明している。
Manky は、「現在、サイバー犯罪者たちは、独自で開発したワイパー・マルウェアについても、CaaS として提供するケースが増えている。つまり、コレまで以上にワイパー・マルウェアの脅威が拡大し、ウクライナや周辺国に拠点を置く組織だけではなく、世界中の組織がターゲットになる可能性が生じている」と語っている。
さらに Fortinet は、コスト効率よく攻撃キャンペーンを展開するために、古いボットネットやマルウェアのコードを再利用する、脅威アクターたちが増加していることにも警告を発している。
Manky は、「サイバー犯罪者は、ヒット曲をリミックスするミュージシャンと同様に、過去に成功を収めた古い攻撃コードを再構築し、強化した新バージョンを再登場させている。2022年の後半には、ボットネットやマルウェアの亜種の中に、お馴染みの名前が復活しているのを目撃したが、その多くは1年以上前のものだった」と説明している。
それらの中には、IoT ボットネット Mirai/リモート・アクセス型トロイの木馬 Gh0st RAT/悪名高いトロイの木馬 Emotet などが含まれる。Manky によると、いまの Emotet は、6つの亜種に分かれているという。2022年の後半に発見されたもう1つの脅威である Lazarus は、2010年にまでさかのぼるという。
その他にも Fortinet は、多数のアフィリエイト・グループを効率化する RaaS モデル (Ransomware-as-a-Service) により、組織にとってランサムウェア攻撃は、大きな脅威であり続けていると警告している。
Manky は、「2022年の後半には、Top-5 のランサムウェア・ファミリーが、全ランサムウェアの約 37%を占めるようになり、2018年に登場した RaaS マルウェアである GandCrab が Top となった。GandCrab の背後にいる脅威アクターは解散を発表したが、GandCrab の全盛期には多数の派生版が作成されていた。このオペレーションから生まれる亜種のロングテールが、依然として存在している可能性がある。そのため、The Cybercrime Atlas Initiative のような組織により、このような大規模な犯罪オペレーションを永久に解体することが不可欠だ」と述べている。
この記事は Wiper にフォーカスしていますが、元データを提供している Fortinet の 2H 2022 Global Threat Landscape Report は、この半年間における脅威全般の統計値で構成されていて、とても読みごたえのあるものです。たとえば、CVE-2022 と CVE-2018 の悪用数の比較において、後者の割合が 50% ほどあるなど、これまでは、ほとんど目にしたことのない切り口での分析結果が提供されています。
IoT OT Security News 
You must be logged in to post a comment.